SSI

SSI – Comment se préparer pour un voyage d’affaire

by  • 

Guide de bonne conduite à l'extérieur de l'entreprise

IMG_1186Suite à la lecture du passeport de conseils aux voyageurs publié par l’ANSSI sur le comportement à avoir avec son téléphone, sa tablette et son ordinateur portable, j’ai repris le guide pour l’adapter à la vraie vie des collaborateurs qui voyagent aussi bien avec le matériel de l’entreprise que personnel. Je me suis appuyé sur mon expérience personnelle.

Lors de nos déplacements ils existent des risques lors du transport de matériel informatique ainsi que des téléphones portables qui hébergent de plus en plus d’information sensible aussi bien de l’entreprise que personnelle.

La vigilance est un conseil fort dans un contexte externe à votre entreprise. Les locaux de l’entreprise sont toujours plus sécurisant…

Les cybercafés, les hôtels, les lieux publics, les transports ou les bureaux de passages n’offrent aucunes sécurités et encore moins de confidentialité.

Sur la plupart des pays y compris la France, les connexions sont enregistrés et l’anonymat n’est plus qu’une illusion de l’esprit. La chambre d’hôtel peut être fouillée à votre insu (Un séjour avec Madame dans un hôtel magnifique au Touquet  ou l’on nous faisait la chambre à chaque sortie sans nous demander notre avis…mieux ne vaut pas laisser le moindre matériel/documents….).

La menace tient pour beaucoup d’entre nous du roman d’espionnage ou du bon vieux polar…mais ce n’est pas le cas. Aujourd’hui des personnes malveillantes souhaitent récupérer un maximum d’information aussi bien d’ordre économique que sensible (Données bancaires, données stratégique de l’entreprise, plan comptable…). Nous sommes tous concernés à notre échelle.

C’est sur que la NSA ne viendra pas espionner mon compte bancaire mais peut être sera-telle intéressée de savoir pourquoi mon employeur à pris telle décision économique au niveau européen ou de savoir pourquoi mon entreprise travail pour des brevets de guidage par GPS pour tondeuse 🙂

Je vous propose les trois volets suivants pour appréhender les menaces potentielles que vous pouvez rencontrer potentiellement :

1. Préparer son déplacement
2. Suivre son déplacement
3. Après son déplacement

1. Préparer son déplacement

La question que l’on doit se poser pour appréhender de façon sereine son déplacement à l’extérieur de son bureau ou lieu de domicile est  « Dois je changer mes habitudes de travail ? »

La réponse est bien entendu OUI !!!

Conseil N°1

Relire les règles de sécurités si elles existent au sein de votre entreprise, voir la personne en charge de la sécurité comme le RSSI ou le RSSO. Si cela n’existe pas pas de panique, on se fait une checklist avec du bon sens.

  • Écran de confidentialité qui va réduire grandement l’angle de vision de votre portable.
  • Chiffrement des disques dur
  • Sauvegarde de l’ensemble des données avant de partir (Attention à la législation)
  • Mot de passe installé avec un compte nominatif (pas de compte générique)
  • avoir le minimum d’information possible lors de déplacement sensible
  • Avoir des clés USB dédiées à cet usage est un minimum pour quelques euros, vous disposez d’une capacité de stockage non négligeable.

Conseil N°2

Ne pas hésiter à se renseigner sur la législation locale de votre destination en cas d’usage de disque chiffré. le site du Affaires étrangères et Européennes donne des recommandations sur ces points.

Le lien ici : http://www.diplomatie.gouv.fr/fr/conseils-aux-voyageurs

Conseil N°3

C’est la qu’on n’est plus dans la vraie vie quand on lit le guide de l’ANSSI, on doit utiliser de préférence un matériel dédié pour l’extérieur avec comme seule information celle nécessaire à votre déplacement. On est dans le monde des bisounours…

Aucune entreprise du CAC40 et encore moins les PME ne disposent de portables en doublon sur les profils de l’entreprises lambda que nous sommes dans la plupart des cas.

On a déjà un poste de travail et quand il est mobile on est chanceux. On ne vous fournira pas un second sauf cas exceptionnelle (Station de forage, Zone de guerre…) mais bon en 25 ans de services dans le monde occidentale je n’ai jamais eu plusieurs portables suivant mes missions et les clients n’en n’avaient pas non plus.

Conseil N°4

Sauvegarder les données que vous emportez et ne prenez pas la sauvegarde avec vous (déjà vécu). Vous pouvez vous faire saisir votre matériel informatique, tablette ou téléphone à la frontière ou vous faire tout simplement dérober vos affaires (sacoche avec la sauvegarde incluse).

 Conseil N°5

Éviter de partir avec des données sensibles mais il se peut que l’on n’est pas vraiment le choix dans pas mal de cas. On revient au conseil N°4 et on parle avec son responsable sécurité pour savoir si la protection des données est suffisante sur le poste de travail. Dans le domaine du possible créer une boite aux lettres dédiée à votre mission externe et favoriser les échanges chiffrés via celle-ci. La boite aux lettres sera supprimée dès votre retour et n’oublier pas d’effacer les mails au fur et à mesures de votre voyage.

La connexion VPN est aussi une bonne solution mais attention que votre poste soit à jour au niveau des outils de détections de logiciels de compromissions (Virus, Malware, Backdoor…).

Conseil N°6

Mon préféré, j’adore ce coté James Bond, marquez vos appareils avec un signe distinctif (moi j’ai des autocollants ACDC, NIRVANA, HACKERS…sur mon book comme mes téléphones. Cela permet d’avoir un rapide coup d’oeil sur votre matériel et de s’assurer qu’il n’y a pas d’échanges. La house est aussi à marquer (Sac de jeun’s)

IMG_1186

 

2. Suivre son déplacement

et maintenant on est dehors de l’entreprise…On ne regarde pas son voisin avec insistance, vous avez quand même très peu de chance de tomber sur un espion avec un walter ppk dans la poche et si c’est le cas, vous avez un autre soucis à gérer 🙂

La règle de base maintenant est de garder près de vous vos équipements et votre sacoche. Ne les laisser jamais loin de vous. Passer pour un parano de la sécurité c’est pas grave mais vos données sont précieuses. Ne les laisser jamais dans un bureau ou un hôtel surtout si on vous dit cela ne craint rien ici. Il n’y a jamais eu de vol chez nous (oui oui et la marmotte…)

Vos équipements sont protégés avec des mots de passe fort (plus de 12 caractères), pas de mot du dictionnaire, vous trouverez un article que j’ai écrit sur le top 500 des mots de passe utilisés. Vous trouverez aussi sur le site de l’ANSSI des recommandations sur l’élaboration de mots de passe fort.

Il se peut que vous deviez laisser votre téléphone, tablette et ordinateur à l’extérieure de la salle de réunion dans ce cas pas de pitié, conservez sur vous votre SIM, la batterie de votre portable et les disques amovibles (j’ai pris 15 mn à démonter mon macbook juste pour montrer que j’étais aussi pénible qu’eux sur la sécurité, j’avais juste le comex d’une entreprise du CAC 40 qui attendait… 🙂 )

L’utilisation d’un logiciel de chiffrement durant tout votre voyage est nécessaire, j’utilise depuis quelques années TrueCrypt. La dernière version qui semble avoir été compromise. Il existe des solutions satisfaisantes pour la majorité des utilisateurs (je n’ai rien à cacher à la NSA, FBI, DGSI ou encore le FSB…).

Il faut aussi prendre en compte que toutes les informations sensibles doivent être évités par téléphone, skype, VoIP locale, utiliser votre VPN avec Lync sur vos serveurs, bon s’il y a des micros dans la chambre c’est mort…

mais s’assoir sur un banc avec un mur dans le dos permet de s’isoler et de savoir rapidement si quelqu’un s’intéresse à vous.

Dans la suite de notre protection, nous n’oublierons pas chaque soir d’effacer les données de navigations ainsi que les appels (c’est le plus dur mais vous avez les contacts sur votre Ibidule…).

Des outils de nettoyages sont disponibles sur le marché pour faire un ménage de premier niveau chaque jour.

Et maintenant la tuile, les autorités locales vous confisque votre matériel. Pas de panique, soyez coopératif, fournissez l’ensemble des mots de passes de chiffrements et d’accès à votre machine. Prévenez le plus rapidement votre entreprise et le responsable de la sécurité pour clore vos comptes d’accès au SI de l’entreprise.

Ne jouer pas au héros, cela ne sert à rien de faire un tour dans une prison du tiers monde pour des données. Vous avez préparé votre voyage et vous êtes un(e) homme/femme respectable. Bien entendu si vous couvrez un coup d’état…la case prison sera difficilement évitable (petit coucou à mon ami Jean-Paul).

En cas de perte on fait la même chose, on prévient son entreprise et on révoque l’ensemble des comptes d’accès à l’entreprise.

Dans les tuiles qui volent en escadrille :

  • n’accepter jamais les clés USB, goodies USB qui peuvent contenir des logiciels malveillants. Quand on reçoit un cadeau gratuit, méfiance, le gratuit n’existe pas dans la vraie vie.

Nous ne sommes pas des stars, notre valeur est uniquement basé sur les données que nous transportons. J’ai jamais vu un top model s’offrir à moi dans la rue, alors la demoiselle en détresse dans l’ascenseur de l’hôtel…on ne regarde même pas 🙂

Il faut aussi se méfier des équipements mis à disposition dans les hôtels comme les radios-réveil pour Iphone qui permettent de recharger votre téléphone préféré sur une base inconnue. Les stations accueil sont à proscrire aussi pour les portables et les tablettes.

UTILISER VOS CHARGEURS UNIQUEMENT. C’est facile cela ne me vient plus à l’idée de me connecter les équipements en libre service depuis pas mal d’années.

Et voila notre voyage s’achève, on prépare le retour, on a fait le ménage dans la chambre, préparer sa valise mais au niveau de vos équipements ?

Checklist avant le départ:

  • Transfert des données via le VPN vers l’entreprise dans un container sécurisé
  • Effacement des données situés sur vos équipements
  • Effacement de l’ensemble des historiques (téléphone, navigation…)

Dans mon cas, j’utilise un serveur dédié ou je stock les données pour permettre leurs scans pendant ma phase de retour.

Ce serveur est isolé du SI et il dispose des derniers antivirus, antimalwares du marché pour éviter la contamination du SI de l’entreprise. C’est évident que cela ne sert à rien contre une agence gouvernementale mais contre le virus du fils du patron d’en face qui vous fait suivre son expression de besoin…cela m’a sauvé pas mal de fois.

3.Retour à l’entreprise/Maison

On est rentrée à la maison et on retourne dans l’entreprise. On n’oublie pas de changer les mots de passe et on n’utilise pas ceux du voyage.

Si vous avez la possibilité faite analyser vos équipements pour la majorité des personnes, faites des mises à jours des bases virales et antimalwares avant de vous connectés sur le réseau de l’entreprise. Une simple clé USB avec les logiciels antivirus & antimalwares fait ça très bien.

Source du document : Guide du voyageur ANSSI